Privacy policy sui siti di ecommerce, a che punto siamo? Bene, ma non benissimo in Italia. A distanza di più di 4 anni dall’entrata in vigore del GDPR – il regolamento europeo sulla protezione dei dati attivo dal 24 maggio 2018 – nel nostro Paese si colleziona ancora un alto numero di multe.
Secondo un report, nel 2022 sono state comminate più di 250 multe ad aziende italiane. Ciò ci posiziona al secondo posto dopo la Spagna (650 sanzioni), seguono Germania e Romania con meno di 150 ammende.
Sebbene in termini quantitativi le multe più salate siano state accollate a Meta, Amazon e Alphabet, l’obbligo di definire una privacy policy non è ancora percepito come tale dalle aziende italiane. Si tenga conto, infatti, che, viste le scarse risorse messe in campo, le sanzioni contestate dal Garante per la Privacy sono solo un campione, generato quasi sempre da segnalazioni anonime dei concorrenti.
Ha senso, dunque, fare un ripassino di inizio 2024 e ricordare quali sono gli obblighi normativi del GDPR europeo. E non basta inserire gli avvisi di rito nella homepage, ma è necessario seguire un processo chiaro e definito nel trattamento dei dati personali e nella gestione dei cookies.
Insieme a The Compliance Engineers, azienda specializzata nella gestione della compliance delle aziende, Tradedoubler ha voluto riordinare le idee a brand e publisher. Riepiloghiamo, dunque, le regole principali della privacy policy a cui tutti i siti devono ottemperare.
Privacy policy #1: il consenso degli utenti
In primo luogo, ogni sito deve rendere graficamente chiara e immediata la policy fin dal primo accesso in homepage. Per questo è opportuno utilizzare un servizio chiamato CMP (Content Management Platform). Dando il consenso, gli utenti autorizzano l’utilizzo del codice di tracciamento, i ben noti cookie.
I cookie sono piccole porzioni di codice memorizzate nel browser non appena un utente visita un sito web. I cookie memorizzano determinati dati sull’utente, come posizione, indirizzo IP, sistema operativo e altri dati a seconda delle impostazioni del browser di quell’utente. Le cosiddette terze parti, ovvero i siti che entrano in gioco nel funnel di acquisto, dispongono di funzionalità di tracciamento a volte necessarie per far funzionare i servizi. Indicati come tag, memorizzano e condividono i dati dell’utente e l’utilizzo del sito web da parte delle terze parti, e si chiamano, appunto, dati di terze parti.
Per garantire ai consumatori un certo livello di protezione, è necessario che all’inizio di ogni nuova sessione, il popup dei cookie offra agli utenti tre opzioni chiare su ciò che il proprietario del sito web farà con i loro dati:
a) Accetta i cookie
b) Rifiutare i cookie
c) Gestire le preferenze.
Le tipologie di cookie
La gestione delle preferenze consente all’utente di scegliere quale tipo di cookie attivare. Questi sono sostanzialmente suddivisi in:
a) Cookie funzionali o essenziali – necessari per far funzionare il sito web – se possono essere disabilitati nelle impostazioni del browser, “possono” comunque influenzare la funzionalità del sito.
b) Cookie analitici: consentono al proprietario del sito web di vedere come un utente ha interagito con il sito web.
c) Cookie di marketing – utilizzati da terzi per commercializzare l’utente in un secondo momento, per esempio per il remarketing.
A seconda del CMP utilizzato dal sito, la sezione “Gestisci preferenze” varia ampiamente. Ora Google richiede che qualsiasi sito web che utilizza prodotti pubblicitari di Google – Adsense, Ad Manager o Admob – in Europa ma non solo dovrà utilizzare una CMP approvata da Google a partire dal 16 gennaio 2024.
Privacy Policy #2: il consenso per l’email marketing
Nel B2C le regole sono chiare: per l’iscrizione a una newsletter il consenso esplicito è obbligatorio, senza non potrai aggiungere i loro dati al tuo database. È necessario chiedere esplicitamente queste informazioni e consentire loro di selezionare attivamente una casella o fare clic su “sì”.
Nel B2B le cose cambiano leggermente. Se sai abbastanza della persona a cui ti rivolgi per le attività di marketing, non hai bisogno del consenso. Non puoi inviare e-mail generiche (per esempio da un indirizzo info@sitowebaziendale), ma puoi inviare e-mail da un account personale ai tuoi contatti se hai già interagito con loro via mail.
Due cose da implementare subito sul tuo sito
È necessario avere una privacy policy aggiornata e facilmente raggiungibile residente sul proprio sito. Questo perché, se il tuo sito web utilizza una qualsiasi delle suite di prodotti Google, sei obbligato a dichiarare la tua Informativa sulla privacy che contiene le norme sulla privacy degli utenti.
Dunque, ecco due cose che devi fare subito, prima che sia troppo tardi.
1. Assicurati di avere un’Informativa sulla privacy aggiornata sul tuo sito web. Collega un’Informativa sui cookie aggiornata all’Informativa sulla privacy. E farai esplicitamente riferimento a tutti i fornitori di terze parti i cui tag sono presenti sul tuo sito web.
2. Attiva un cookie banner utilizzando un CMP, meglio se accreditato TCF, Transparency & Consent Framework. Un’iniziativa avviata da IAB Europe, progettata per consentire a fornitori ed editori di dimostrare di essere trasparenti e di ottenere il consenso nelle modalità approvate. La maggior parte dei fornitori di CMP offre una versione gratuita o una versione premium. Nel secondo caso si implementa un CMP utilizzando la loro tecnologia, creando le policy e aggiornandole ogni volta che cambiano. La scelta dipenderà dalla frequenza con cui cambi fornitore e venditori sul tuo sito web.
Altri aspetti da considerare come brand e come publisher
Infine, ecco quattro considerazioni ulteriori che devi fare per dormire sonni tranquilli.
- I tuoi processi interni sono conformi al GDPR? Ai sensi della norma esistono una serie di obblighi oltre alla privacy policy, per esempio per la protezione dei dati.
- Operi in più mercati o sfrutti cloud di operatori stranieri? Devi avere sapere dove sono conservati i tuoi dati. Se trasferisci dati fuori dall’Europa ci sono diversi quadri normativi e considerazioni contrattuali da considerare.
- Disponi accordi chiari sul trattamento e di condivisione dei dati con le terze parti, perché ne sei direttamente responsabile.
- Il contratto di lavoro deve contenere le clausole relative al trattamento dei dati dei dipendenti e da parte dei dipendenti.
Vuoi saperne di più? Gli specialisti di Tradedoubler sono a tua disposizione, scrivici!
